RODO oraz przepisy krajowej ustawy o ochronie danych osobowych w pewnych przypadkach nakładają obowiązek powołania Inspektora ochrony danych. Ma on czuwać nad prawidłowością przebiegu procesów związanych z przetwarzaniem danych osobowych w konkretnym podmiocie.
Mimo że RODO nie definiuje, co kryje się pod nazwą „organ lub podmiot publiczny”, robią to nasze rodzime przepisy, wskazując, że są to jednostki sektora finansów publicznych, instytuty badawcze i Narodowy Bank Polski. Dla przykładu, takim podmiotem będzie NFZ, uczelnia publiczna, jednostki samorządu terytorialnego czy ZUS.
Co w przypadku podmiotów sektora prywatnego, które wykonują zadania z zakresu administracji publicznej? Nie można mówić o przyporządkowaniu ich do wyżej wskazanej grupy podmiotów, dla których powołanie IOD jest obowiązkowe, ale dobre praktyki nakazują, by w takiej sytuacji również wyznaczyć IOD.
Czym jest „główna działalność”? Uznajemy, że podmioty, których podstawowym przedmiotem działalności są czynności, które co do zasady nie byłyby możliwe bez przetwarzania danych, są objęte opisywanym obowiązkiem. Jednak, gdyby zatrzymać się tylko na tym punkcie, można byłoby przyjąć, że w rzeczywistości każdy podmiot musi powołać IOD. Dlatego warto doprecyzować, że przetwarzanie danych musi mieć charakter regularny i systematyczny i występować na dużą skalę. Dla oceny sytuacji należy przyjąć kryteria zasięgu geograficznego używanych danych, ilości osób, których to przetwarzanie dotyczy, rodzaju danych oraz okresu ich przechowywania. Jeśli podmiot przetwarza dane z kilku województw (a nawet krajów), dotyczy to sporej grupy ludzi i wielu kategorii danych, z pewnością będzie musiał liczyć się z obowiązkiem powołania IOD.
Tutaj również mamy do czynienia z oceną „głównej działalności” oraz „dużej skali”. Zasadnicza różnica polega na tym, że w tym przypadku podmiot przetwarza dane szczególnej kategorii, tj. dane biometryczne, zdrowotne czy też dane ujawniające pochodzenie rasowe, poglądy religijne, polityczne itp. Dobrym przykładem będzie szpital, który przetwarza dane dot. zdrowia pacjenta.